Блог

Нужен ли ИБ-аудит?

Валерий Васильев
02.06.2015 14:11:13
Теги: аудит ИБ

Внутренний аудит ИБ в силу процессности характера обеспечения корпоративной ИБ так или иначе на предприятиях проводится. Но вот кто его проводит? Чаще всего как раз те, кого и надлежит аудировать.

Поэтому говорить нужно об аудите ИБ внешнем. Особенно в условиях серьезного усложнения задачи обеспечения корпоративной ИБ. К примеру, в средней компании, одних только инструментов защиты информации насчитывается сегодня десятки. И все их нужно обслуживать, причем при жестком дефиците специалистов и усложнении ИБ-угроз.

Не стоит верить тем, кто заявляет, что вообще не допускает вмешательства внешних аудиторов. С чего, например, начинается любой проект развертывания какого-либо ИБ-средства, как ни с внешнего ИБ-аудита, проводимого с помощью независимых аудиторов, ИБ-интеграторов или ИБ-вендоров? Если ваш бизнес завязан на международные платёжные системы, то вам хорошо знакомы ежегодные аудиторские проверки компаний Visa и MasterCard на соответствие стандарту PCI DSS. Ну а Роскомнадзор к вам с "аудитом" еще не заглядывал? Если нет, то лучше провести аудит "на соответствие" заблаговременно.

Реально ИБ-аудит уже распространен и будет распространяться все шире и глубже. Другого пути как в руки ИБ-аудиторов у нас нет. И относиться к этому нужно без паранойи. Можно, разве что, пожелать снижения стоимости аудита, да стандартизации пакетов услуг ИБ-аудиторов с учетом бизнес-профилей клиентов.

Комментариев: 1

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии

16.06.2015 16:02:51

Хотел бы сразу оговориться, что тема эта весьма деликатная. Именно — деликатная. Потому как данные, полученные в результате аудита ИБ, являются сугубо конфиденциальными, а в некоторых случаях могут потянуть и на более высокий гриф. Именно поэтому не стоит забывать, что деятельность по аудиту ИБ подлежит контролю РЕГУЛЯТОРА, коим является ФСТЭК РФ. Более того, это лицензируемый вид деятельности, требующий от исполнителя необходимых компетенций, истории, персонала и особых лицензий, ограничивающих возможность разглашения данных аудита ИБ.
Внутренний аудит решения ИБ может быть реализован в рамках общего проекта по созданию корпоративной системы ИБ как один из этапов этой работы. Например, через год (два) после окончания внедрения. Такой аудит целесообразен только в русле деятельности службы собственной безопасности на предмет проверки исполнения проектных решений по ИБ. Известны многочисленные случаи случайного и намеренного пренебрежения исполнением требований по ИБ. Это и понятно, любая система ИБ накладывает на пользователя ограничения в плане использования ИТ-решений. Иногда ограничения эти весьма серьезны. Поэтому пользователь зачастую саботирует установленные регламенты в силу сложности, неудобства, возникновения препятствий в исполнении прямых служебных обязанностей. Для выявления этого и нужен внутренний аудит.
Аудит внешний иной. Часто он ограничивается формальным изучением документов — ИБ - проекта, инструкций, регламентов, политик — на соответствие требованиям регулятора (СТР-К). Кроме того, он фиксирует недостатки, связанные с невыполнением требований НОВЫХ нормативных документов регуляторов, принятых за отчетный период, о которых во внедренном решении нет даже упоминания. Иногда это может приводить к доработке самого проектного решения по ИБ в части развертывания новых средств защиты информации, не внедренных прежде. В любом случае, внешний аудит ИБ — это плановое мероприятие, которое необходимо проводить хотя бы раз в три года. В условиях жесткой российской действительности эта плановость часто реализуется при смене команды управленцев, или при переходе собственности, или еще в каком-либо из случаев пробуждения"жареного петуха". Скоротечность и непродуманность таких проектов приводит к нагромождению средств ИБ, к трудностям внедрения и использования и, в конечном итоге, к разгромным аудитам по истечению спокойного периода. Круг замыкается…
Поэтому плановость аудита — как внешнего, так и внутреннего — это его неотъемлемое свойство. Этим он и ценен. Просто внешний аудит может проводиться значительно реже, чем внутренний.

Интересно

Статьи

Сказки о безопасности: Троян из техподдержки
Иоганн очень не любил зиму. И не потому что было холодно. Чаще всего температура держалась около нуля …

Кибербезопасность-2017: старые и новые проблемы
2017-й оказался еще одним трудным годом с точки зрения кибербезопасности. Достоянием общественности стали …

Сказки о безопасности: Инсайдерское ограбление
— Потапыч, сможете помочь? — Что случилось? — Нам нужна ваша консультация. У нас в банке …

Сказки о безопасности: Автомобильный медиа-центр
Погода этой зимой была какой-то странной. На улице снег сменялся дождем, постоянно за окном висели тучи …

Сказки о безопасности: Для определения местоположения можно обойтись без геолокации
Вчера была вьюга, а сегодня как в насмешку над понедельником утро выдалось солнечным. Так не хотелось …

Решения

Миграция с VMware на OpenStack с минимальным даунтаймом
Опытные ИТ-руководители понимают: если корпоративная инфраструктура или ее часть выйдет из строя, большинство …

Маленькая грязная тайна отрасли безопасности
В последние годы центральное место в обсуждении вопросов сетевой безопасности занимают постоянные угрозы повышенной …

Упрощение аварийного восстановления в сложных виртуальных средах
В данном техническом документе рассматривается Выбор правильной стратегии резервного копирования виртуальных машин для эффективного управления...

Непрерывная защита данных
Данный технический документ позволит ответить на вопрос, соответствует ли технология непрерывной защиты данных (CDP …

Скрытые издержки виртуализации
Для того чтобы проект по виртуализации позволил достичь ожидаемых результатов и предполагаемой рентабельности …

Блог

Насколько неанонимными будут теперь мессенджеры?
Еще одно законодательное новшество 2018 года – введение "запрета на анонимность мессенджеров". Именн ...

Как запретить Uber отслеживать местоположение вашего iPhone, когда вы не используете приложение
Увы, большинство приложений для iOS, требующих отслеживания вашего местоположения, дают вам выбор то ...

Вопросы информационной безопасности на примере квартального автошлагбаума
Опубликованный месяц назад пост о проблема обеспечения "защищенной" работы дворового автошлагбаума ( ...

Как защитить интернет-аккаунт от взлома?
В субботу вечером получил сообщения от Гугл о блокировке моего Gmail-аккуанта по случаю "попытки вхо ...

Насколько безопасна электронная система голосования для избрании депутатов?
Этот вопрос возник вчера во время беседы с кандидатом в муниципальные депутаты в нашем районе, котор ...

 

Панорама

PoE коммутаторы TP-Link
PoE-коммутаторы от TP-Link предназначены специально для работы по стандартам PoE (802.3af) или PoE+ (802.3at) для подачи питания различным устройствам.
Canon открывает перед партнерами новые горизонты и возможности
В начале осени компания Canon провела в Москве традиционную партнерскую конференцию. Двухдневное мероприятие было …
На пути к “умному” хранилищу
Вопрос хранения данных для современного бизнеса уже давно является одним из основных. Подробно об этой …

Интересно

 

Создание сайта - студия iMake
© 2018 АО «СК ПРЕСС».
Политика конфиденциальности персональных данных, информация об авторских правах и порядке использования материалов сайта.
Правила поведения на сайте.

На главную PC Week/RE  |  Об издании  |  Архив номеров  |  Подписка на бумажную версию
Другие проекты «СК ПРЕСС»ITRNБестселлеры IT-рынкаByte/РоссияCRN/REIntelligent Enterprise/REPC Magazine/RE.